Chinese Mustang Panda hackers deploy infostealers via CoolClient backdoor

กลุ่มแฮกเกอร์ Mustang Panda จากจีนได้อัปเดตมัลแวร์ CoolClient backdoor เป็นเวอร์ชันใหม่ ซึ่งเพิ่มความสามารถในการขโมยข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์และตรวจสอบคลิปบอร์ด นอกจากนี้ยังมีการใช้ rootkit ที่ไม่เคยพบเห็นมาก่อน มัลแวร์นี้ถูกใช้ในการโจมตีหน่วยงานรัฐบาลในเมียนมา มองโกเลีย มาเลเซีย รัสเซีย และปากีสถาน โดยมีการแพร่กระจายผ่านการโหลด DLL โดยอาศัยช่องโหว่ในซอฟต์แวร์ที่ถูกลงนาม รวมถึงผลิตภัณฑ์จากบริษัท Sangfor CoolClient ที่ได้รับการอัปเดตนี้มีความสามารถในการรวบรวมข้อมูลระบบ, บันทึกคีย์, ดักจับข้อมูลประจำตัวพร็อกซี HTTP และใช้ปลั๊กอินเพื่อการควบคุมระยะไกลและการจัดการไฟล์ การส่งข้อมูลที่ถูกขโมยออกไปจะใช้ API tokens ของบริการสาธารณะเพื่อหลีกเลี่ยงการตรวจจับ

Severity: สูง

System Impact:

• หน่วยงานรัฐบาลในเมียนมา, มองโกเลีย, มาเลเซีย, รัสเซีย, และปากีสถาน
• ระบบปฏิบัติการ Windows (เป้าหมายหลักสำหรับการทำงานของ CoolClient, การแก้ไข Registry, บริการ Windows, งานตามกำหนดเวลา, UAC bypassing, Privilege escalation)
• เบราว์เซอร์ที่ใช้ Chromium เป็นฐาน (Google Chrome, Microsoft Edge และเบราว์เซอร์อื่นๆ ที่ใช้ Chromium) สำหรับการขโมยข้อมูลการเข้าสู่ระบบ
• ซอฟต์แวร์ของบริษัท Sangfor (ผลิตภัณฑ์ด้าน Cybersecurity, Cloud computing, และ IT infrastructure)
• ซอฟต์แวร์ที่มี Signed binaries ที่ถูกใช้ในการโหลด DLL side-loading (เช่น Bitdefender, VLC Media Player, Ulead PhotoImpact)

Technical Attack Steps:

1. 1. การแทรกซึมเบื้องต้น (Initial Compromise): แฮกเกอร์ใช้ CoolClient backdoor โดยอาศัยการโหลด DLL side-loading ผ่านซอฟต์แวร์ที่ถูกลงนาม (signed binaries) เช่น Bitdefender, VLC Media Player, Ulead PhotoImpact หรือผ่านซอฟต์แวร์ที่ถูกกฎหมายจากบริษัท Sangfor.
2. 2. การติดตั้งและการคงอยู่ (Installation and Persistence): มัลแวร์ CoolClient จะถูกติดตั้งและสร้างการคงอยู่บนระบบผ่านการแก้ไข Registry, การเพิ่มบริการ Windows ใหม่, และการสร้างงานตามกำหนดเวลา (scheduled tasks).
3. 3. การยกระดับสิทธิ์ (Privilege Escalation): CoolClient มีความสามารถในการหลีกเลี่ยง UAC (User Account Control) และยกระดับสิทธิ์ (privilege escalation) เพื่อเพิ่มอำนาจควบคุมบนระบบที่ถูกบุกรุก.
4. 4. การรวบรวมข้อมูลระบบ (System Information Gathering): CoolClient รวบรวมข้อมูลเกี่ยวกับระบบที่ถูกบุกรุกและผู้ใช้ เช่น ชื่อคอมพิวเตอร์, เวอร์ชันของระบบปฏิบัติการ, RAM, ข้อมูลเครือข่าย, และรายละเอียดของโมดูลไดรเวอร์ที่โหลดอยู่.
5. 5. ความสามารถใหม่ของ CoolClient: มีการตรวจสอบคลิปบอร์ด (Clipboard Monitoring), การติดตามหน้าต่างที่ใช้งาน (Active Window Title Tracking), และการดักจับข้อมูลประจำตัวพร็อกซี HTTP (HTTP Proxy Credential Sniffing) โดยการตรวจสอบแพ็กเก็ตดิบและดึงส่วนหัว.
6. 6. การใช้งานปลั๊กอิน (Plugin Deployment): ระบบนิเวศปลั๊กอินของ CoolClient ได้รับการขยาย โดยมีปลั๊กอินสำหรับ remote shell, การจัดการบริการ (service management), และการจัดการไฟล์ (file management) ที่มีความสามารถสูงขึ้น.
7. 7. การขโมยข้อมูลเบราว์เซอร์ (Browser Data Theft): มีการปรับใช้ infostealers เฉพาะกิจเพื่อขโมยข้อมูลการเข้าสู่ระบบจากเบราว์เซอร์ต่างๆ เช่น Chrome, Edge และเบราว์เซอร์ที่ใช้ Chromium เป็นฐาน.
8. 8. การส่งข้อมูลออก (Data Exfiltration): การขโมยข้อมูลเบราว์เซอร์และการส่งเอกสารออกจะใช้ API tokens ที่ถูกฮาร์ดโค้ดสำหรับบริการสาธารณะที่ถูกกฎหมาย เช่น Google Drive หรือ Pixeldrain เพื่อหลีกเลี่ยงการตรวจจับ.
9. 9. การปรับใช้มัลแวร์เพิ่มเติม (Additional Malware Deployment): Mustang Panda ยังคงพัฒนาชุดเครื่องมือ โดยมีการใช้ kernel-mode loader ใหม่เพื่อติดตั้งมัลแวร์ ToneShell บนระบบของรัฐบาล.

Recommendations:

Short Term:

• อัปเดตและแพตช์ระบบปฏิบัติการและซอฟต์แวร์ทั้งหมดให้เป็นเวอร์ชันล่าสุด โดยเฉพาะอย่างยิ่งสำหรับระบบโครงสร้างพื้นฐานที่สำคัญ.
• เฝ้าระวังกิจกรรมที่ผิดปกติบนระบบเครือข่ายและ Endpoint โดยเฉพาะการสร้างบริการ Windows ใหม่, งานตามกำหนดเวลา, หรือการแก้ไข Registry ที่ไม่ได้รับอนุญาต.
• ใช้โซลูชัน Endpoint Detection and Response (EDR) ที่แข็งแกร่งเพื่อตรวจจับและตอบสนองต่อภัยคุกคาม.
• ฝึกอบรมผู้ใช้งานให้ตระหนักถึงภัยคุกคามจากการฟิชชิ่ง (phishing) และวิศวกรรมสังคม (social engineering) ซึ่งเป็นวิธีการที่มักใช้ในการโจมตีเริ่มต้น.
• ตรวจสอบและรักษาความปลอดภัยการตั้งค่าเบราว์เซอร์ และพิจารณาใช้โปรไฟล์เบราว์เซอร์ที่ปลอดภัย.

Long Term:

• ดำเนินโครงการสร้างความตระหนักด้านความปลอดภัยไซเบอร์อย่างต่อเนื่องและครอบคลุมสำหรับพนักงานทุกคน.
• บังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) สำหรับบัญชีทั้งหมด โดยเฉพาะอย่างยิ่งสำหรับระบบที่สำคัญ.
• ตรวจสอบและรักษาความปลอดภัยโครงสร้างพื้นฐานด้านไอทีอย่างสม่ำเสมอ รวมถึงการระบุและแก้ไขช่องโหว่ในซอฟต์แวร์บุคคลที่สาม.
• ใช้การแบ่งส่วนเครือข่าย (Network Segmentation) เพื่อจำกัดการเคลื่อนที่ในแนวนอน (lateral movement) ของผู้โจมตี.
• ปรับใช้โซลูชันข่าวกรองภัยคุกคามขั้นสูง (Advanced Threat Intelligence) เพื่อติดตามกิจกรรมและเครื่องมือของกลุ่ม APT อย่าง Mustang Panda.
• รักษากลยุทธ์การสำรองและกู้คืนข้อมูลที่ครอบคลุม.
• เสริมสร้างความปลอดภัยของ Supply Chain โดยเฉพาะเมื่อใช้ซอฟต์แวร์จากผู้จำหน่ายบุคคลที่สาม.
• ใช้กลยุทธ์การป้องกันแบบเชิงลึก (Defense-in-Depth) รวมถึงกลไกการตรวจจับ rootkit.

Source: https://www.bleepingcomputer.com/news/security/chinese-mustang-panda-hackers-deploy-infostealers-via-coolclient-backdoor/